подозрение на вирусную активность вируса. Программы самопроизвольно устанавливались и на столах появлялись их ярлыки (после установки браузера опера) вот файлы
подозрение на вирусную активность вируса. Программы самопроизвольно устанавливались и на столах появлялись их ярлыки (после установки браузера опера) вот файлы
Уважаемый(ая) [B]tehnik[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[NOTICE]Внимание !!! База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43[/NOTICE]
Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
Сделаны новые логи после обновления баз AVZ
Удалите CiPlus-4.5vV23.07, Crossbrowse через установку прогамм в панели управления
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DelBHO('{6302DA44-093B-4153-9D0E-22129D91F801}');
StopService('comyninu');
StopService('hyverumu');
StopService('pebocimi');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\hnsvD650.tmp','');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp','');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs','');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
QuarantineFileF('C:\ProgramData\WindowsMangerProtect', '*', false,'', 0, 0);
QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe','');
DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp','32');
DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe','32');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
DeleteFileMask('C:\ProgramData\WindowsMangerProtect', '*', true, ' ');
DeleteDirectory('C:\ProgramData\WindowsMangerProtect');
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Browsers', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Пользователь\appdata\local\smartweb', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\appdata\local\smartweb');
DeleteFileMask('C:\Users\Пользователь\AppData\Local\Kometa', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\AppData\Local\Kometa');
DeleteFileMask('C:\Program Files (x86)\WordSurfer_1.10.0.19', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\WordSurfer_1.10.0.19');
DeleteFileMask('C:\Program Files (x86)\Crossbrowse\Crossbrowse', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\Crossbrowse\Crossbrowse');
DeleteFileMask('C:\Program Files (x86)\CiPlus-4.5vV23.07', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\CiPlus-4.5vV23.07');
DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
DeleteFileMask('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10_user.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5_user.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
DeleteFile('C:\Windows\Tasks\qGzj0G7OtrUE1r.job','64');
DeleteService('comyninu');
DeleteService('hyverumu');
DeleteService('pebocimi');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_1BB8204478EB23873EB78136BAE51D79');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.
[ATTACH]582951[/ATTACH][ATTACH]582952[/ATTACH][QUOTE=SQ;1299274] Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.[/QUOTE]
файлы по запросу
1. Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Результат загрузки
Файл сохранён как 150814_160124_quarantine_55cdd8948cfd7.zip
Размер файла 3637359
MD5 448b9d2c5e4c4873b2a4cc21e93dd0e4
2.- Подготовьте лог AdwCleaner и приложите его в теме.
Прикреплён файл
3. - Сделайте лог и приложите его в теме.
Прикреплён файл
4. - логи AVZ повторить ?
Обновленные файлы и логи.
1. Как убрать (удалить) с автозагрузки амиго,
VKontakteDJ.exe /H
\amigo.exe --no-startup-window
\Mail.Ru\MailRuUpdater.exe
2. Вызывает подозрение
HKCU\..\Run: [CNAP2 Launcher] C:\Windows\system32\spool\DRIVERS\x64\3\CNAP2LAK.EXE
3. Проблема захода на некоторые сайты к примеру [url]https://www.wikipedia.org/[/url] (как с буквой S так и без нее), сайт mail.ru заходит а в категорию ответы -> [url]https://otvet.mail.ru/[/url] так же не заходит открывается чистая страница с ошибкой страница не найдена и еще на некоторые сайты.
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Отметьте и удалите в AdwCleaner все найденные записи
Сделал новые логи AdwCleaner и hijackthis.log? логи в авз не могу сделать зависает, прикладываю скрин на каком месте. пробовали 4 раза.
после того как отметили и удалили в AdwCleaner все найденные записи компьютер перегрузился и выдал отчет AdwCleaner[C1] прикреплен.
Но все ровно пока открывает рекламу.
Судя по скриншоту, Вы выполняете 3 стандартный скрипт "Скрипт лечения/карантина и сбора информации", да еще и выбрали все пункты в "Области поиска". Выполните 2 стандартный скрипт "Скрипт сбора информации для раздела "Помогите" virusinfo.info". В области поиска самостоятельно галочки не устанавливайте. Ждем результатов попытки сделать новый лог AVZ.
mrak74 можно ли как то в АВЗ сделать скрипт или выполнить действие что бы он файл собрал в карантин, что бы подкрепить вверху темы "Прислать запрошенный карантин" вот название файла SMART_IO.CRD расположен на съемном диске F:\, его удаляешь, через время он снова оказывается там именно на этом флеш накопителе, при вставление других такого нету.
P.S при выполнение скрипта галочка с диска C слетает,
сейчас ссылки на сайты стали открывается интересно в чем была причина.
Но реклама пока появляется.
просьба удалить некоторые файлы, места почти не осталось места для подкрепления новых, все в этой теме. не тот файл еще удалю вдруг.
[quote="tehnik;1307602"]mrak74 можно ли как то в АВЗ сделать скрипт или выполнить действие что бы он файл собрал в карантин, что бы подкрепить вверху темы "Прислать запрошенный карантин"[/quote]
[quote="SQ;1299274"]Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.[/quote]
[quote="tehnik;1304312"]Файл сохранён как 150814_160124_quarantine_55cdd8948cfd7.zip
Размер файла 3637359
MD5 448b9d2c5e4c4873b2a4cc21e93dd0e4[/quote]
Карантин у Вас просили всего один раз и Вы его успешно прислали. Больше не надо, без дополнительного запроса.
[quote="tehnik;1307602"]SMART_IO.CRD расположен на съемном диске F:\, его удаляешь, через время он снова оказывается там именно на этом флеш накопителе, при вставление других такого нету.[/quote]
Можете самостоятельно проверить этот файл на [url]https://www.virustotal.com/[/url], думаю что он не представляет угрозы.
В последнем логе AVZ порядок. Что с проблемой ?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[quote="tehnik;1307602"]Но реклама пока появляется.[/quote]
[URL="http://virusinfo.info/showthread.php?t=128635#post948932"][I]очистите кэш и cookies-файлы браузеров[/I][/URL]
[quote="tehnik;1307602"]просьба удалить некоторые файлы, места почти не осталось места для подкрепления новых, все в этой теме. не тот файл еще удалю вдруг.[/quote]
Удалил вложения из первого поста. Что с проблемой после очистки кэш и cookies-файлы браузеров ?
[QUOTE=mrak74;1307623]Что с проблемой после очистки кэш и cookies-файлы браузеров ?[/QUOTE]
Очистил в трех браузерах EI, Opera, гугл хром. ситуация не изменилась. (так же через 7- 10 идет перекидка на дополнительное окно сайта)
[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]
Не хватает 195 кб свободного места.
[quote="tehnik;1307983"]Не хватает 195 кб свободного места.[/quote]
Выложите на [url]http://rghost.ru/[/url], ссылку с результатом загрузки опубликуйте в следующем сообщении.
[url]http://rghost.ru/8chLGTMkv[/url]
c 5 раза загрузил, в черный список файл отправлял:O
Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\32.0.1725.115\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\KOMETA\APPLICATION\43.0.2357.130\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\43.0.2357.132\RESOURCES\GOOGLE_NOW\GOOGLE NOW
deltmp
delnfr
restart[/CODE]
Проверьте работу браузеров.
Все ровно всплывает реклама :( хотя писал что то удаляет при нажатии выполнить скрипт. папки ZOO не было.
повторно логи AVZ делать?
[quote="tehnik;1308050"]повторно логи AVZ делать?[/quote]
Да. Повторите логи virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил).
Вы из Тулы ? 89.108.106.89,8.8.8.8 - эти DNS у Вас прописаны в сетевых настройках 1-й Московский, 2-ой Google Public DNS. Настройки Вашего провайдера точные знаете ?